EncFS: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „===EncFS (Encrypted Filesystem)=== Mit EncFS ist es möglich Ordner zu verschlüsselte und dann wieder per Passwort zu entschlüsseln.Dateien werden in verschlüsselten Ordnern abgelegt, welche bei der Entschlüsselung in das bestehende Dateisystem eingehangen werden.'''Anmerkung:''' Es existiert eine (theoretische) [https://defuse.ca/audits/encfs.htm Schwachstelle] in diesem Tool, welche den normalen Anwender allerdings nicht betrifft. Laut EncFS Secu…“ |
Keine Bearbeitungszusammenfassung |
||
| (9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
Laut EncFS Security Audit {en} vom 14.01.2014 enthält EncFS in der Version 1.7.4 einige potentielle Schwachstellen. | Laut EncFS Security Audit {en} vom 14.01.2014 enthält EncFS in der Version 1.7.4 einige potentielle Schwachstellen. | ||
Das Fazit der Prüfung: EncFS ist wahrscheinlich noch sicher, solange ein potentieller Angreifer nur (genau) eine Version der verschlüsselten Daten erhält, wie z.B. bei Diebstahl oder Verlust eines Datenträgers. | Das Fazit der Prüfung: EncFS ist wahrscheinlich noch sicher, solange ein potentieller Angreifer nur (genau) eine Version der verschlüsselten Daten erhält, wie z. B. bei Diebstahl oder Verlust eines Datenträgers. | ||
Kann ein potentieller Angreifer allerdings mehr als eine Version der verschlüsselten Daten einsehen, ist EncFS laut der Sicherheitsprüfung nicht mehr geeignet. | Kann ein potentieller Angreifer allerdings mehr als eine Version der verschlüsselten Daten einsehen, ist EncFS laut der Sicherheitsprüfung nicht mehr geeignet. | ||
Die verbreitete Verwendung von EncFS zur | Die verbreitete Verwendung von EncFS zur Kryptografie von Daten in der Cloud ist ein solcher Risikofall. | ||
Stand April 2018: Sieben von zehn im Audit aufgezeigten Schwachstellen sind im EncFS-Bugtracker bis heute offen und für eine irgendwann geplante Version 2.0 zurückgestellt. Die aktuelle Version ist 1.9.5 aus April 2018. | Stand April 2018: Sieben von zehn im Audit aufgezeigten Schwachstellen sind im EncFS-Bugtracker bis heute offen und für eine irgendwann geplante Version 2.0 zurückgestellt. Die aktuelle Version ist 1.9.5 aus April 2018. | ||
| Zeile 34: | Zeile 34: | ||
Konfiguration abgeschlossen. Das angelegte Dateisystem hat die | Konfiguration abgeschlossen. Das angelegte Dateisystem hat die | ||
folgenden Eigenschaften: | folgenden Eigenschaften: | ||
Dateisystem- | Dateisystem-Kryptografie: "ssl/aes", Version 3:0:2 | ||
Dateinamenkodierung: "nameio/block", Version 4:0:2 | Dateinamenkodierung: "nameio/block", Version 4:0:2 | ||
Schlüssellänge: 256 | Schlüssellänge: 256 Bit | ||
Blockgröße: 1024 Bytes, enthält 8 Bytes MAC-Kopf | Blockgröße: 1024 Bytes, enthält 8 Bytes MAC-Kopf | ||
Jede Datei enthält 8 Bytes Vorspann mit einmaligen IV-Daten. | Jede Datei enthält 8 Bytes Vorspann mit einmaligen IV-Daten. | ||
| Zeile 47: | Zeile 47: | ||
Die externe Initialisierungsvektor-Verkettung wurde ausgewählt. | Die externe Initialisierungsvektor-Verkettung wurde ausgewählt. | ||
Mit dieser Option können keine Hard-Links verwendet werden. | Mit dieser Option können keine Hard-Links verwendet werden. | ||
Bei manchen Programmen (z.B. 'mutt' und 'procmail') kann dies zu Fehlern führen. | Bei manchen Programmen (z. B. 'mutt' und 'procmail') kann dies zu Fehlern führen. | ||
Weitere Informationen befinden sich auf der Encfs-Mailingliste. | Weitere Informationen befinden sich auf der Encfs-Mailingliste. | ||
Wenn Sie diese Option ändern wollen, drücken sie STRG-C zum Abbrechen und beginnen erneut. | Wenn Sie diese Option ändern wollen, drücken sie STRG-C zum Abbrechen und beginnen erneut. | ||
| Zeile 59: | Zeile 59: | ||
EncFS-Passwort bestätigen: | EncFS-Passwort bestätigen: | ||
Nachdem dies durchgeführt wurde können wir den eingehangenen Ordner (~/secret) die Dateien ablegen, welche durch | Nachdem dies durchgeführt wurde können wir den eingehangenen Ordner (~/secret) die Dateien ablegen, welche durch Kryptografie geschützt werden sollen. | ||
„Standard-Modus“ und „Paranoia-Modus“ bitten lediglich um die Eingabe eines Passworts, wobei der Paranoia-Modus eine etwas stärkere | „Standard-Modus“ und „Paranoia-Modus“ bitten lediglich um die Eingabe eines Passworts, wobei der Paranoia-Modus eine etwas stärkere Kryptografie und einige zusätzliche Sicherheitsfeatures bietet. Der „Experten-Modus“ erlaubt den weiter fortgeschrittenen Benutzern die Art der Kryptografie zu wählen sowie diverse weitere Optionen zu konfigurieren. | ||
Um zu überprüfen ob alles geklappt hat kann man folgenden Befehl verwenden: | Um zu überprüfen ob alles geklappt hat kann man folgenden Befehl verwenden: | ||
| Zeile 72: | Zeile 72: | ||
Zum aushängen des Ordners wird [https://en.wikipedia.org/wiki/Filesystem_in_Userspace FUSE] verwendet.Der entsprechende Befehl lautet:<tt>fusermount -u ~/secret</tt>'''-u''' —> steht für unmount | Zum aushängen des Ordners wird [https://en.wikipedia.org/wiki/Filesystem_in_Userspace FUSE] verwendet.Der entsprechende Befehl lautet:<tt>fusermount -u ~/secret</tt>'''-u''' —> steht für unmount | ||
EncFS bietet noch weítere Optionen, z.b. das nach x Minuten Inaktivität der Ordner ausghangen wird (Option: <tt>-i</tt> bzw. <tt>--idle=</tt> mit Angabe der Zeit in Minuten) oder auch einen <tt>verbose</tt> Modus mit welchem Probleme besser analysiert werden können (Bsp: <tt>encfs -v -f ~/.secret ~/secret 2> encfs-report.txt</tt>). Es lohnt sich also ein Blick in die man Page (<tt>man encfs</tt>). | EncFS bietet noch weítere Optionen, z.b. das nach x Minuten Inaktivität der Ordner ausghangen wird (Option: <tt>-i</tt> bzw. <tt>--idle=</tt> mit Angabe der Zeit in Minuten) oder auch einen <tt>verbose</tt> Modus mit welchem Probleme besser analysiert werden können (Bsp: <tt>encfs -v -f ~/.secret ~/secret 2> encfs-report.txt</tt>). Es lohnt sich also ein Blick in die man Page (<tt>man encfs</tt>). | ||
[[Kategorie:Dateisystem/Kryptografie]] | |||
Aktuelle Version vom 31. Mai 2023, 01:17 Uhr
EncFS (Encrypted Filesystem)
Mit EncFS ist es möglich Ordner zu verschlüsselte und dann wieder per Passwort zu entschlüsseln.Dateien werden in verschlüsselten Ordnern abgelegt, welche bei der Entschlüsselung in das bestehende Dateisystem eingehangen werden.Anmerkung: Es existiert eine (theoretische) Schwachstelle in diesem Tool, welche den normalen Anwender allerdings nicht betrifft.
Laut EncFS Security Audit {en} vom 14.01.2014 enthält EncFS in der Version 1.7.4 einige potentielle Schwachstellen. Das Fazit der Prüfung: EncFS ist wahrscheinlich noch sicher, solange ein potentieller Angreifer nur (genau) eine Version der verschlüsselten Daten erhält, wie z. B. bei Diebstahl oder Verlust eines Datenträgers. Kann ein potentieller Angreifer allerdings mehr als eine Version der verschlüsselten Daten einsehen, ist EncFS laut der Sicherheitsprüfung nicht mehr geeignet. Die verbreitete Verwendung von EncFS zur Kryptografie von Daten in der Cloud ist ein solcher Risikofall.
Stand April 2018: Sieben von zehn im Audit aufgezeigten Schwachstellen sind im EncFS-Bugtracker bis heute offen und für eine irgendwann geplante Version 2.0 zurückgestellt. Die aktuelle Version ist 1.9.5 aus April 2018.
Quelle: wiki.ubuntuusers.de
INSTALLATIONDie EncFS-Pakete sind mittlerweile in jeder bekannten Linux-Distro enthalten und können somit direkt über die entsprechenden Paketquellen installiert werden.
AnwendungUm die Ordner (einen versteckten mit den verschlüsselten Dateien und einen Ordner als Mountpunkt) anzulegen verwendet man folgende Syntax:encfs <Pfad/zum/geheimen/Ordner> <mountpunkt>
HINWEIS: Verzeichnisse werden mit dem selben Befehl eingehängt, mit dem sie auch neu erstellt werden.
Beispiel:
encfs ~/.secret ~/secret Das Verzeichnis "/home/rasputin/.secret/" existiert nicht. Soll es angelegt werden? (y,N) y Das Verzeichnis "/home/rasputin/secret/" existiert nicht. Soll es angelegt werden? (y,N) y Neues verschlüsselter Datenträger wird angelegt. Bitte wählen Sie eine der folgenden Optionen:
"x" für den Experten-Modus, "p" für den vorkonfigurierten Paranoia-Modus, etwas anderes oder eine Leerzeile wählt den Standard-Modus.
?> p
Paranoide Einstellungen gewählt.
Konfiguration abgeschlossen. Das angelegte Dateisystem hat die folgenden Eigenschaften: Dateisystem-Kryptografie: "ssl/aes", Version 3:0:2 Dateinamenkodierung: "nameio/block", Version 4:0:2 Schlüssellänge: 256 Bit Blockgröße: 1024 Bytes, enthält 8 Bytes MAC-Kopf Jede Datei enthält 8 Bytes Vorspann mit einmaligen IV-Daten. Dateinamenkodierung benutzt IV-Verkettungsmodus. Dateidaten-IV ist mit Dateinamen-IV verkettet. Dateilöcher wurden zur verschlüsselten Ausgabe durchgereicht.
-------------------------- WARNUNG -------------------------- Die externe Initialisierungsvektor-Verkettung wurde ausgewählt. Mit dieser Option können keine Hard-Links verwendet werden. Bei manchen Programmen (z. B. 'mutt' und 'procmail') kann dies zu Fehlern führen. Weitere Informationen befinden sich auf der Encfs-Mailingliste. Wenn Sie diese Option ändern wollen, drücken sie STRG-C zum Abbrechen und beginnen erneut.
Nun wird ein Passwort für das Dateisystem benötigt. Da es keinen Mechanismus zur Wiederhestellung gibt, müssen Sie sich an das Kennwort erinnern! Das Kennwort kann mit encfsctl nächträglich geändert werden.
Neues EncFS-Passwort: EncFS-Passwort bestätigen:
Nachdem dies durchgeführt wurde können wir den eingehangenen Ordner (~/secret) die Dateien ablegen, welche durch Kryptografie geschützt werden sollen.
„Standard-Modus“ und „Paranoia-Modus“ bitten lediglich um die Eingabe eines Passworts, wobei der Paranoia-Modus eine etwas stärkere Kryptografie und einige zusätzliche Sicherheitsfeatures bietet. Der „Experten-Modus“ erlaubt den weiter fortgeschrittenen Benutzern die Art der Kryptografie zu wählen sowie diverse weitere Optionen zu konfigurieren.
Um zu überprüfen ob alles geklappt hat kann man folgenden Befehl verwenden:
$ mount | grep "encfs" encfs on /home/rasputin/secret type fuse.encfs (rw,nosuid,nodev,relatime,user_id=1000,group_id=100,default_permissions)
Aushängen des Verzeichnisses
Zum aushängen des Ordners wird FUSE verwendet.Der entsprechende Befehl lautet:fusermount -u ~/secret-u —> steht für unmount
EncFS bietet noch weítere Optionen, z.b. das nach x Minuten Inaktivität der Ordner ausghangen wird (Option: -i bzw. --idle= mit Angabe der Zeit in Minuten) oder auch einen verbose Modus mit welchem Probleme besser analysiert werden können (Bsp: encfs -v -f ~/.secret ~/secret 2> encfs-report.txt). Es lohnt sich also ein Blick in die man Page (man encfs).